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Beschreibung 

Tragbare Datentrager sind magnetische, optische 
Oder sonstige physikalische Speichereigenschaflen 
nutzende Objekte. Wenn diesen DatentrSgern Intelli- 
genz in Form eines Mikroprozessors zugeordnet ist, 
sind diese Datentrager besonders vielseitig verwend- 
bar und erfullen hochste Anforderungen an die Da- 
tensicherheit Am meisten verbreitet sind diese intel- 
ligenten DatentrSger in Form von Chipkarten, 

Die Chipkarte ist vielseitig anwendbar, beispiels- 
weise als bargeldloses Zahlungsmittel, als Personal- 
oder Versicherungsausweis, als Schlussel zum Zu- 
gang zu Rechnern und fur alle sonstigen Anwendun- 
gen, bei denen die eindeutige Identifizierung eines 
Anwenders notwendig Ist Oder die Berechtigung ei- 
nes Anwenders eine bestimmte Anwendung auszu- 
fuhren, nachgewiesen warden mull. Ist eine einzige 
Chipkarte fur mehrere sole he Anwendungen ver- 
wendbar, so spricht man von einer multifunktionalen 
Chipkarte. Auf Grund ihres physikalischen Aufbaus - 
neben dem Prozessor sind auf dem Chip ein masken- 
programmierbarer ROM-Speicherbereich, ein als Ar- 
beitsspeicher dienender schneller RAM-Speicherbe- 
reich und ein nichtflQchtiger, programmierbarerSpel- 
cherbereich (EEPROM-Speicherbereich) unterge- 
bracht- konnen die Chipkarten vom Kartenherausge- 
ber durch entsprechende Programmierung des 
EEPROM-Speicherbereichs fur viele Anwendungen 
programmiert werden. Bei jeder Anwendung mussen 
gema& einem vorgegebenen Protokolt einige der Im 
ROM-Speicherbereich abgelegten Basisfunktionen 
auf der Chipkarte abgearbeitet werden. 

Aus EP-A-0 190 733 Ist eine Chipkarte bekannt, 
der Kommandos zugefuhrt werden, die Basisfunktio- 
nen bezeichnen. Die Basisfunktionen sind in der 
Chipkarte gespeichert und werden dort in der Rei- 
henfolge abgearbeitet, in der sie aufgerufen werden. 

Im EEPROM-Speicherbereich ist fur jede Anwen- 
dung ein Anwendungsdatenfeld eingerichtet Auf in ei- 
nem solchen Feld eingetragene Daten kann eine Ba- 
sisfunktion nur zugreifen, wenn diese Anwendung 
vorher aufgerufen wurde. Im Anwendungsdatenfeld 
kSnnen Daten mit unterschied lichen Zugriffsbedln- 
gungen abgelegtsein. Es kann beispielsweisefestge- 
legtsein. da& Daten nur dann gelesen oderverandert 
werden konnen. wenn sich der Chlpkartenbenutzer 
durch eine PIN-Nummer (personliche Identifikations- 
nummer) zu erkennen gibt 

Die Informationen. welche Anwendung vorliegt. 
welche Baslsfunktion abgearbeitet werden soli, und 
die zur Berechtigungsprufung erforder lichen Infor- 
matlonen erhaltdie Chipkarte durch Datenaustausch 
mit einem Terminal. Mit diesem Terminal ist die Chip- 
karte direkt durch elektrische Kontakte Oder Indirekt 
uber optische oder induktive Koppeleinrichtungen 
verbunden. Vom Terminal aus konnen also Basis- 
funktionen zur Abarbeltung auf der Chipkarte aufge- 



rufen werden. Die Reihenfolge. in der diese Basis- 
funktionen aufgerufen werden. wird demnach vom 
Terminal bestimmt Da es aus sicherheitstechnischen 
Grunden erforderllch ist. die Basisfunktionen in einer 

5 bestimmten Reihenfolge abzuarbeiten. besteht durch 
eine m5gliche Manipulation am Terminal, durch die 
die Ablaufireihenfolge verandert werden konnte, oder 
durch die bestimmte Basisfunktionen ausgelassen 
werden kdnnten. ein Sicherheitsrisiko. 

10 DerErfindung liegtdieAufgabezugrunde, bei ei- 
nem Datenaustauschsystem der eingangsgenannten 
Art das sicherheitstechnische Risiko der unzulassi- 
gen. durch Manipulation am Terminal herbeigefuhr- 
ten Veranderung eines Ablaufprotokolls einer Anwen- 

15 dung auszuschalten. 

Diese Aufgabe wIrd erfindungsgem§(i durch die 
in Patentanspruche 1 und 21 angegebenen Merkma- 
le gelost 

Durch die Speicherung derzulassigen Protokoll- 
20 ablSufe auf dem Datentrager selbst und der erfin- 
dungsgemSIlen Nutzung dieser Speicherung Im Zu- 
sammenwirken mit dem Zustandsspeicherbereich, 
wird die Sicherheit des Datenaustauschsystems zu- 
satzlich erhoht Der Datentrager selbst kann Manipu- 
25 lationen am Terminal erkennen und geeignete Ge- 
genma&nahmen einleiten. Zudem kann das erfin- 
dungsgema&e Verfahren fur beliebige Anwendungen 
eingesetzt werden. 

Besondere Ausgestaltungen und Weiterbildun- 
30 gen des erf indungsgemd lien Verfahrens und einer 
Vorrichtung zur Durchfuhrung des Verfahrens sind in 
den Unteranspruchen angegeben. 

Im folgenden wird ein Ausfuhrungsbeispiel der 
Erf indung anhand der Zeichnungen n3her eriiutert 
35 Dabei zeigen 

FIG 1 eine Datenaustauschvorrichtung zur 
Durchfuhrung des erfindungsgema&en Verfah- 
rens, 

FIG 2 ein Ablaufdiagramm einer Anwendung, 
40 FIG 3 eine Nachfolgerta belle zum Ablaufdia- 

gramm, 

FIG 4 Auszuge aus einer Steuerliste zum Ablauf- 
diagramm und 

FIG 5 einen Zustandsspeicherbereich des Daten- 

45 trdgers. 

FIG 1 zeigt ein Datenaustauschsystem, bestehend 
aus einem vorzugsweise als Chipkarte K ausgebildeten 
Datentrager und einem Terminal T. Das Terminal T ist 
ein mit einer Schnittstelle zum Datenaustausch mit einer 

50 Chipkarte K ausgestattetes Datenein-/ausgabegr3t ei- 
ner Datenverarbeitungsanlage, beispielswetse ein 
Geldautomat, ein Kontoauszugdrucker. eine Perso- 
nenidentiflzierungseinrichtung oder auch ein ent- 
sprechend ausgerusteter Telefonapparat 

55 Anstelle einer Chipkarte K sind auch andere Da- 
tentrager denkbar, die von der geometrischen Form 
der Chipkarte K mehr oder wenigerabweichen. MaB- 
geblich ist lediglich. da& der DatentrSger einen Pro- 
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zessor P und einen Speicher S enth3lt. Im Ausfuh- 
rungsbeispiel sind die Chipkarte K und das Terminal 
T Gber elektrische Kontakte I5sbar miteinander ver- 
bunden. 

Der Speicher S der Chipkarte K ist in drei sich in 
der Speichertechntk unterscheidende Bereiche ein- 
geteilt: Ein elektrisch Idsch- und wiederbeschreibba- 
rer Speicherteit EEPROM, ein schneller. als Arbeits- 
speicher benutzter schreib- und lesbarer Speicher 
RAM und ein maskenprogrammierbarer Speicherbe- 
reich ROM. Gem3[l ihrerSpeicherelgenschaften wer- 
den die drei Speicherbereiche unterschiedlich ge- 
nutzt Im maskenprogrammierbaren Speicherbereich 
ROM sind vom Kartenhersteller die anwenderunab- 
hingigen, universell anwendbaren Daten und Pro- 
gramme gespeichert Unter anderem sind in diesem 
maskenprogrammierbaren Speicherbereich ROM 
mehrere Basisfunktionen Bmitden Baslsfunktionsbe- 
zeichnungen B1...Bn, Krypto-Algorithmen KA bei- 
spielsweise zur Verschlusselung der Daten beim Da- 
tenaustausch und ein Betriebssystem BTS der Chip- 
karte K eingetragen. Im schreib- und lesbaren Spei- 
cherbereich RAM werden seiche Daten abgelegt, die 
wahrend der Dauer einer Verbindung zwischen Ter- 
minal T und Chipkarte K bendtigt werden. Unter an- 
derem sind das die Ein-/Ausgangsdaten I/O und Da- 
ten, die in einem Zustandsspeicherbereich ZS abge- 
legt werden. Im elektrisch schreib- und Idschbaren 
Speicherbereich EEPROM werden die vom Karten- 
herausgeberfestgelegten Daten gespeichert Dieser 
Speicherbereich EEPROM enthalt in einem soge- 
nannten Gemeinschaftsdatenfeld CDF hinterlegte 
Daten, die unabhangig von einer speziellen Anwen- 
dung verwendet werden k5nnen und Daten, auf die 
nur bezuglich einer Anwendung zugegriffen werden 
kann. Diese anwendungsspezif ischen Daten sind in 
sogenannten Anwendungsdatenfeldern ADF abge- 
legt Das Gemeinschaftsdatenfeld CDF und die An- 
wendungsdatenfelder ADF enthalten zus3tzlich so- 
genannte Steuerlisten STL, in denen jeweils minde- 
stens die Ablaufreihenfolge einer Anwendung festge- 
legt ist Eine einem bestimmten Anwendungsdaten- 
feld ADF zugeordnete Steuerliste STL kann auch au- 
&erhalb des Anwendungsdatenfeldes ADF im Ge- 
meinschaftsdatenfeld CDF gespeichert werden. Dies 
ist immer dann sinnvoll, wenn fur verschiedene An- 
wendungen die gleiche Ablaufreihenfolge vorge- 
schrieben ist Da die Steuerliste STL dann fur zwei 
Oder mehrere solcher Anwendungen nur einmal ge- 
speichert werden mud kann Speicherplatz gespart 
werden. 

In FIG 2 ist das Ablaufdiagramm einer Anwen- 
dung dargestellt Ausgehend von einem Anfangszu- 
stand Z1 folgt durch Abarbeitung einer vierten Basis- 
funktion B4 auf den Anfangszustand Z1 ein zweiter 
Zustand Z2. Von diesem zweiten Zustand Z2 ausge- 
hend, ist alternativ die Abarbeitung zweier Basisfunk- 
tionen B2, B3 mdglich. Mit erfolgrelcher Abarbeitung 



der zweiten Basisfunktion B2 kommt die Anwendung 
in einen dritten Zustand Z3 und mit der erfolgreichen 
Abarbeitung der dritten Basisfunktion B3 geratdie An- 

5 wendung in einen vierten Zustand Z4. Vom vierten 
Zustand Z4 ausgehend ist nur die Abarbeitung derer- 
sten Basisfunktion B1 eriaubt, wodurch die Anwen- 
dung in einen funften Zustand Z5 gerat Von diesem 
funften Zustand Z5 ausgehend, ist entweder die Ab- 

10 arbeitung der zweiten Basisfunktion B2 oder der drit- 
ten Basisfunktion B3 zugelassen, w3hrend die Abar- 
beitung der dritten Basisfunktion B3 zum vierten Zu- 
stand Z4 der Anwendung zuruckfuhrt, fuhrtdie Abar- 
beitung der zweiten Basisfunktion B2 zu einem End- 

15 zustand Z6 der Anwendung. Wenn, vom zweiten Zu- 
stand Z2 ausgehend, die zweite Basisfunktion B2 ab- 
gearbeitet wird, gerat die Anwendung in den dritten 
Zustand Z3. Von diesem Zustand Z3 ausgehend istle- 
diglich die Abarbeitung der funften Basisfunktbn B5 

20 zulassig, die zum Endzustand Z6 der Anwendung 
fuhrt Zusitzlich Ist bei jedem Zustand Z der Anwen- 
dung die Abarbeitung einer sechsten Basisfunktion 
B6 und einer schlief^nden Basisfunktion BC erIaubt 
Stellvertretend fur samtliche sechsten Basisfunktio- 

25 nen B6 ist diese nur beim dritten Zustand Z3 der An- 
wendung in der FIG 2 eingezeichnet Die Abarbeitung 
der sechsten Basisfunktion B6 fuhrt immer wiederzu 
dem Zustand Z zuruck, von dem sie ausging. Die Ab- 
arbeitung der schlie&enden Basisfunktion BC fuhrt 

30 stets zur Beendigung der Anwendung. 

in FIG 3 ist eine Nachfolgerta belle abgebildet In 
der ersten Spalte sind samtliche innerhalb der An- 
wendung mdglichen Zustande Z mit den Nummern 1 
bis 6 eingetragen. In der zweiten Spalte ist zu jedem 

35 Zustand die Anzahl BA der zulSssigen Basisfunktio- 
nen B eingetragen. Gem3& dem Ablaufdiagramm aus 
FIG 2 sind dies zwei Basisfunktionen B zum ersten 
Zustand Z1, drei Basisfunktionen B zum zweiten Zu- 
stand Z2. zwei Basisfunktionen B zum dritten Zustand 

40 Z3, zwei Basisfunktionen B zum vierten Zustand Z4, 
drei Basisfunktionen B zum funften Zustand Z5 und 
zwei Basisfunktionen B zum sechsten Zustand Z6. Da 
das Beenden einer Anwendung keinen Anwendungs- 
zustand zur Folge hat, ist die bei jedem Zustand Z 

45 mSgliche schlie&ende Basisfunktion BC in der Nach- 
folgertabelle der FIG 3 nicht berucksichtigt Nach der 
zweiten Spalte sind in der Ta belle mehrere Spalten- 
paare angegeben. Die Zahl der Spalte npaare ent- 
spricht der maxtmalen Anzahl BA der zulassigen Ba- 

50 sislunkttonen B, die auf einen Zustand Z folgen k5n- 
nen. Jedes Spaltenpaar besteht aus einer Spalte, in 
der die Nummer B1 ...B6 der jeweils zulassigen Basis- 
funktion B angegeben ist und aus einer zweiten Spal- 
te, in die die Folgezustandsbezeichnung ZF, des auf 

55 den jeweiligen Zustand Z nach Abarbeitung einer Ba- 
sisfunktion B folgenden Zustandes Z1...Z6 eingetra- 
gen ist So sind beispielsweise im zweiten Zustand Z2 
drei Basisfunktionen B zur Abarbeitung zugelassen, 
nSmlich die zweite Basisfunktion B2, die dritte Basis- 
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funktion B3 und die sechste Basisfunktion 86. Auf die 
zwelte Basisfunktion B2 folgt der drltte Zustand Z3. 
auf die drltte Basisfunktion B3 folgt der vierte Zustand 
Z4 und auf die sechste Basisfunktion B6 folgt der 5 
zwelte Zustand 22. 

Die Nachfolgertabelle gemd& FIG 3 kdnnte in die- 
ser Form zwar abgespeichert warden; diese Spei- 
cherform hatte aber einen hohen Auf wand bel der 
Auswertung dieser Tabeile zur Folge. Deshalb wird io 
die Nachfotgetabelle In Form einer Steuerliste STL, 
wie sie in FiG 4 angegeben 1st, gespelchert 

FiG 4 zeigt ausschnittsweise eine Steuerliste 
STU die In zwei Speicherbereiche S1 und S2 einge- 
tragen ist Im Spelcherbereich S1 sind ein Steuerll- is 
stenkopf SK und eIn Steuertistenrumpf SR unterge- 
bracht und im Spelcherbereich 52 ist eine Ausnahmen- 
liste SAabgetegt Der Steuerlistenkopf SK enthalt je ei- 
nen Speicherplatz fur eine Steuerlistenkopflange SKL 
und fur eine Ausnahmenlistenblocknummer SAN. Des- 20 
weiteren enth3lt der Steuerlistenkopf SK nacheinan- 
der den zul3ssigen ZustSnden Z in aufsteigender Rei- 
henfolge zugeordnete Speicherplatzpaare, In die Je- 
wells die Anzahl SBA der beim betreffenden Zustand 
Z zulassigen Basisfunktionen B (mit Ausnahme der 25 
Basisfunktlonen B, dessen Baslsfunktionsbezelch- 
nungen Bn In einer Ausnahmenliste SA eingetragen 
sind) und ein Pointer SBP eingetragen sind. Dieser 
Pointer SBP zeigt auf einen Speicherplatz im Steuer- 
listenrumpf SR, an dem die zulassigen Baslsfunktio- 30 
nen B und ihre Folgezustinde ZF abgelegt sind. Der 
Steuerlistenrumpf SR besteht aus Gruppen von 
Datentupein, wobei auf den Anfang jeder Gruppe der 
Pointer SBP aus dem Steuerlistenkopf SK zeigt. Ein 
sotches Tupel setzt sich aus einem Speicherplatz fur 35 
die Bezeichnung einer Basisfunktion B und einem 
Speicherplatz fur eine Folgezustandsbezeichnung 
ZF eines zwingend auf die Im Tupel bezeichnete Ba- 
sisfunktion B folgenden Zustandes Z zusammen. Wie 
die FIG 4 zeigt, sind im Steuerlistenkopf SK dem er- 40 
sten Zustand Z1 eine Funktionsanzaht SBA1 und ein 
Pointer SBP1 zugeordnet. Der Pointer SBP1 weistauf 
die dem ersten Zustand Z1 zugeordnete Gruppe im 
Steuerlistenrumpf SR, die ein Datentupel enthalt. in 
die SpeicherptStze dieses Datentupels sind die Be- 45 
zeichnung der vierten Basisfunktbn B4 und die Fol- 
gezustandsbezeichnung ZF des auf die erfolgreiche 
Abarbeitung der vierten Basisfunktion B4 folgenden 
zweiten Zustandes Z2 eingetragen. Diese Elntragun- 
gen entsprechen den Elntragungen, die an entspre- so 
chenderStelle aus FIG 2 bzw. FIG 3 entnehmbarslnd. 

Da zu alien Zust§nden Z der Anwendung die Ab- 
arbeitung dersechsten Basisfunktion B6 und die Ab- 
arbeitung derdie Anwendung beendenden schlie&en- 
den Basisfunktion BC zul3sslg 1st, Ist es vorteilhaft, ss 
diese Basisfunktlonen nicht im Steuerlistenrumpf SR 
einzutragen. Durch die Einrlchtung der Ausnahmenli- 
ste SAim zweiten Spelcherbereich S2 k5nnen die Be- 
zeichnungen der bel jedem Zustand Z zulassigen Ba- 



sisfunktlonen B8, BG speicherptatzsparend In eine 
Steuerliste STL eingefugt werden. Im Steuerlisten- 
kopf SK Ist In den Speicherplatz neben der Steuerli- 
stenkopflange SKLelne Ausnahmenlistenblocknummer 
SAN eingetragen. Durch diese Nummerwird die Aus- 
nahmenliste SA der Anwendung zugeordnet Durch 
diese Art der Ausnahmenllstenzuordnung und ge- 
melnsam mit der Speicherung der Ausnahmenliste 
SA im Gemelnschaftsdatenfeld CDF ist es auch mog- 
llch, eine Ausnahmenliste SA fur verschledene An- 
wendungen zu verwenden. 

FIG 5 zeigt eine spezielle Ausfuhrung des Zu- 
standsspeicherbereiches ZS. Der Zustandsspeicher 
ZS enthalt Informatlonen zum Protokollablauf und zur 
Datenzugrlffskontrolle. Zu den Informatlonen zum 
Protokollablauf gehQren die Blocknummer STB der 
Steuerliste STL, die Bezeichnung der zuletzt erfolg- 
reich abgearbeiteten Basisfunktion B, die im Basis- 
funktionsspeicherplatz BZ eingetragen ist und die In- 
formation uberden aktuellen Protokollzustand Z, die 
Im Protokollzustandsspeicherplatz Zl abgelegt ist 
Die Speicherplatze zur Datenzugriffskontrolie umfas- 
sen einen Platz APIN furdie Kennzelchnung einer er- 
folgrelch durchgefuhrten PIN-Prufung inner halb der 
Anwendung, zwei SpelcherplStze zum Ablegen der 
Information, ob zwei verschledene Authentizitatspru- 
fungen AUTH1 , AUTH2 erfolgrelch durchgefuhrt wur- 
den, einige Reservespeicherpiatze RES und einen 
Speicherplatz, in dem die Information eingetragen 
wIrd, ob eine globale PIN-Prufung GPIN erfolgrelch 
durchgefuhrt wurde. 

Im folgenden wird der Ablauf des erf indungsge- 
ma&en Verfahrens unter EInbezlehung der oben be- 
schrlebenen Vorrlchtung eriautert 

Mit dem EInstecken einer Chipkarte K in das Ter- 
minal T wird mittels elektrischer Kontakte oder gege- 
benenfalls auch kontaktlos eine elektrische Verbin- 
dung zwischen Terminal T und Chipkarte K herge- 
stelit Diese Verbindung wirkt sowohl hinslchtlich der 
Stromversorgung als auch bezuglich der Ankopplung 
der Eln-/Ausgabeeinrichtungen I/O des Terminals T 
und der Chipkarte K. Durch das Einstecken der Chip- 
karte K wird der gesamte Arbeitsspelcherbereich in 
einen bestimmten Zustand - z.B. alle Bit = 0 -zuruck- 
gesetzt 

Das Terminal T Ist In diesem Beisplel einer be- 
stimmten Anwendung - beispielsweise einem Geldau- 
torinaten einer Bank - zugeordnet Die jeweilige Art 
der Anwendung wird der Chipkarte K In der Weise mit- 
getellt, da& das Terminal T ein spezif Isches Applika- 
tlonskommando an die Chipkarte K ubertragt Auf der 
Chipkarte K wird nun uberpruft. ob auf der Chipkarte 
K ein Anwendungsdatenfeld ADF fur diese spezielle 
Anwendung vorhanden Ist Ist dieses Anwendungs- 
datenfeld ADF vorhanden, f indet eine teilweise Inltia- 
lisierung des Zustandsspelcherbereichs ZS statt 
Diese Initiaiisierung hat zur Folge, da& die Blocknunv 
mer STB der dieser Anwendung zugeordneten, Im An- 
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wendungsdatenfeld ADF Oder im Gemeinschaftsda- 
tenfeld CDF vermerkten Steuerliste STL im Zu- 
standsspeicherbereich ZS eingetragen wird und der 
Protokollzustandsspeicherplatz Z\, in dem der aktuel- 5 
le Anwendungszustand Z eingetragen warden muR, 
auf den ersten Zustand Z1 gesetzt wird. Desweiteren 
werden samtliche Bit der anwendungsbezogenen 
Speicherplatzezuruckgesetzt(beisptelsweise 0). Die 
Bit der Speicherplatze fur globale Daten bleiben un- 10 
ver§nderL 

Nach der Meldung an das Terminal T, dad der In- 
itiallslerungsvorgang abgeschlossen ist, erfolgt die 
Ubertragung eines Funktionskommandos vom Termi- 
nal T zur Chlpkarte wobei dieses Funktionskom- is 
mando, z.B. die vierte Basisfunktion B4 bezelchnet 
und die notwendigen Eingangsdaten fur diese Basis- 
funktion 84 enthalt Die Chipkarte K bef indet sicii auf 
Grund der Eintragung im Zustandsspeicherbereich 
ZS im ersten Zustand Z1 . Es wird nun im Steuerlisten- 20 
kopf SK, der Steuerliste STL mit der im Zustandsspei- 
cherbereich ZS eingetragenen Blocknummer STB, 
dasjenige Datenpaar gelesen. das dem ersten Zu- 
stand Z1 zugeordnet ist Im Speiclierplatz SBA1 ist 
eingetragen, da& in diesem ersten Zustand Z1 nur ei- 25 
ne Basisfunktion B zulassig Ist Der neben diesem 
Speicherplatz eingetragene Pointer SBP1 zeigt auf 
die dem ersten Zustand Z1 zugeordnete Gruppe von 
Datentupeln. Dieses Tupel enthalt die Bezeichnung 
der vierten Basisfunktion B4 und die Bezeichnung 30 
des auf die vierte Basisfunktion B4 folgenden Zustan- 
des Z2. Der Vergleich der vom Terminal T ubertrage- 
nen Basisfunktlonsbezeichnung B4 und der Basis- 
funktionsbezeichnung B4, die im Datentupel des 
Steuerlistenrumpfes SR eingetragen ist, liefert ein 35 
positives Ergebnis. Auf Grund dieses positiven Ver- 
gleichsergebnisses wird die vierte Basisfunktion 84 
unter Verwendung der mit dem Funktionskommando 
ubertragenen Eingangsparameter abgearbeitet Un- 
ter der An nahme, da& die vierte Basisfunktion B4, die 40 
fur die PIN-Prufung zust3ndige Funktion ist, und da& 
die PIN-Nummer vor dem Funktionsaufruf am Termi- 
nal T richtig eingegeben wurde, liefert die vierte Ba- 
sisfunktion 84 das Ergebnis, dad die PIN-Prufung er- 
folgreiche vongenommen wurde. Am Basisfiinktlons- 45 
speicherplatz BZ fur die zuletzt erfolgreich ausge- 
fuhrte Basisfunktion B des Zustandsspeicherberei- 
ches ZS wird die Bezeichnung der vierten Basisfunk- 
tion 84 eingetragen. Zusatzlich wird an einem der 
Speicherplitze APIN oder GPIN, beispielsweise so 
durch Setzen eines Bit. die erfolgreich ausgefuhrte 
PIN-Prufung vermerkt Welches Bit der beiden Spei- 
cherplatze gesetzt wird hangt davon ab, ob mit dem 
gleichen Terminal T mehrere Anwendungen realisier- 
bar sind und davon, ob fur alle Anwendungen, fur die 55 
die Chipkarte K zugelassen ist, die gleiche PIN-Num- 
mer erforderlich ist. Da im beschriebenen Fall das 
Terminal T ausschlie&lich dem Geldautomaten zuge- 
ordnet ist und damit nur eine Anwendung mit diesem 



Terminal T durchgefuhrt werden kann. wird der Spei- 
cherplatz APIN im Zustandsspeicherbereich ZS auf 1 
gesetzt 

Der Zustand Z der Anwendung wird dadurch in 
den zweiten Zustand Z2 ubergefuhrt, daR der im 
Datentupel im Steuerlistenrumpf SR neben der Ba- 
sisfunktlonsbezeichnung 84 In Form einer definier- 
ten Bitfolge eingetragene Zustand Z2 in den Proto- 
kollzustandsspeicherplatz Zi des Zustandsspeicher- 
bereichs ZS eingetragen wird. 

Nachdem ein Antwortsignal, das dem Terminal T 
die erfolgrelche Abarbettung der vierten Basisfunkti- 
on 84 signalisiert. von der Chipkarte K zum Terminal 
T ubertragen wurde, ist der erste Vorgang abge- 
schlossen. Die Chipkarte K ist wieder bereit, eine In- 
formation hier in Form eines Funktionskommandos. 
zu empfangen. 

Das Terminal T ubertragt nun ein zweites Funkti- 
onskommando zur Chipkarte K. Dieses Funktions- 
kommando bezelchnet die dritte Basisfunktion 83 
und beinhaltet die Eingangsparameter dieser Basis- 
funktion 83. Im Steuerlistenkopf SK wird das jeweili- 
ge Datenpaar gelesen, das dem zweiten Zustand Z2 
zugeordnet ist Im Speicherplatz SBA2. der die An- 
zahl derzul3ssigen Basisfunktionen Bangibtstehtdie 
Zahl zwei. Derzugehorige Pointer S8P2 zeigt auf den 
ersten Speicherplatz. der dem 2:weiten Zustand Z2 
zugeordneten Gruppe von Datentupeln im Steuerli- 
stenrumpf SR. 

Die in dieser Gruppe eingetragenen Basisfunkti- 
onsbezeichnungen B2, B3 werden mit der Baslsfunk- 
tionsbezeichnung B3, die mit dem Funktionskonv 
mando zur Chipkarte K ubertragen wurde. vergli- 
Chen. Der Vergleich fSllt positiv aus. Nach erfolgrei- 
cher Abarbeitung derdritten Basisfunktion 83 wird die 
Anwendung der Chipkarte K in den Zustand Z4 ver- 
setzt Unter der Annahme, daH im Zuge der Abarbei- 
tung der Basisfunktion B3 auf im Anwendungsdaten- 
feld ADF abgelegte Daten zugegriffen werden mu& 
und dieser Zugriff nur zulissig ist, wenn vor her eine 
PIN-Prufung erfolgreich durchgefuhrt wurde, werden 
vor Beginn der Abarbeitung der dritten Basisfunktion 
B3 die PIN-Speicherplatze APIN, GPIN im Zustands- 
speicherbereich ZS gelesen. Nur wenn eines der bei- 
den Bit auf 1 gesetzt ist, wird die dritte Basisfunktion 
B3 abgearbeitet Ist diese Abarbeitung beendet, wird 
in den Basisfunktionsspeicherplatz BZdesZustands- 
speicherbereichs ZS die Bezeichnung derdritten Ba- 
sisfunktion 83 eingetragen und im Protokollzustands- 
speicherplatz Zi der vierte Zustand Z4 eingetragen. 
Zusatzlich wird ein Antwortsignal zum Terminal T 
ubertragen. 

Mit dem nachsten Funktionskommando wird die 
sechste Basisfunktion 86 angefordert und die not- 
wendigen Eingangsparameter zur Chipkarte K uber- 
tragen. Im Steuerlistenkopf SK wird das dem vierten 
Zustand Z4 zugeordnete Datenpaar gelesen. Im 
Speicherplatz fur die Funktionsanzahl SBA4 ist eine 
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1 eingetragen. Der Pointer SBP4 zeigt im Steuerli- 
stenrumpf SR auf das dem vierten Zustand Z4 zuge- 
ordnete Datentupei. In diesem Datentupel steht die 
Basisfunktionsbezeichnung 81 der ersten Basisfunk- 5 
tion B und der entsprechende funfte Foigezustand 
Z5. Ein Vergieich der Basisfunktionsbezeichnung B1 
im Steueriistenrumpf SR und der zur Chipkarte K 
ubertragenen Basisfunktionsbezeichnung B6 liefert 
ein negatives Ergebnis. Daraufhin wird im Steuerii- io 
stenkopf SK die Ausnahmenllstenbtocknummer SAN 
gelesen. Die in der Ausnahmenliste SA elngetrage- 
nen Basisfunktionsbezelchnungen B6, BC werden 
nun mit der zur Chipkarte K hin ubertragenen Basis- 
funktionsbezeichnung B6 verglichen. Auf Grund des 15 
positiven Vergleichsergebnisses und unter der Vor- 
aussetzung, dad eventuelle Datenzugriffsbedingun- 
gen erfullt sind, wird die sechste Basisfunktion B6 ab- 
gearbeitet Trotz erfoigreicher Abarbeitung wird die 
Basisfunktionsbezeichnung B6 der sechsten Basis- 20 
funktion B nicht im Basisfunktionsspeicherplatz BZ 
des Zustandsspeicherbereichs ZS eingetragen. Die 
Eintragung im Protokollzustandsspeicherplatz Zi 
bieibt ebenfalls unverandert Auch jetzt erfolgt die 
Obertragung eines Antwortsignals zum Terminal T, 25 

Fur den Fall, da& sich die Anwendung nach Ab- 
arbeitung der dritten Basisfunktion B3 im vierten Zu- 
stand Z4 bef indet und vom Terminal T nochmais die 
dritte Basisfunktion B3 aufgerufen wird, liefern samt- 
liche Vergleiche im Steueriistenrumpf SR und in der 30 
Ausnahmenliste SA ein negatives Ergebnis. In die- 
sem Fall f indet ein weiterer Vergieich statt Die zur 
Chipkarte K ubertragene Basisfunktionsbezeichnung 
B3 der dritten Basisfunktion B wird mit der im Zu- 
standsspeicherbereich ZS im Basisfunktionsspei- 35 
cherplatz BZ eingetragenen Basisfunktionsbezeich- 
nung B3 verglichen. Dieser Vergieich liefert ein posi- 
tives Ergebnis, wodurch die Abarbeitung der dritten 
Basisfunktion B3 zugelassen wird. Damit ist eine Wie- 
derholbarkeit von Baslsfunktionen B gew§hrleistet 40 

In entsprechender Weise werden die nachfol- 
gend aufgerufenen Basisfunktionen B der Anwendun-. 
gen behandelt, bis vom Terminal T die schliedende 
Basisfunktion BC aufgerufen wird, die die Anwen- 
dung beendet Die schlie&ende Basisfunktion BC 45 
kann nach Abarbeitung jeder beliebigen Basisfunkti- 
on B aufgerufen werden. da die Basisfunktionsbe- 
zeichnung BC in der Ausnahmenliste SAenthalten ist 
Fur den Fall. da& keine Ausnahmenliste SAexistiert, 
muB der Prozessor P fur den Fall, daR sfimtliche vor- so 
genommenen Vergleiche negatives Ergebnis gelie- 
fert haben, uberprufen, ob die vom Terminal T aufge- 
rufene Basisfunktion B die schlie&ende Basisfunktion 
BC ist Auf diese Weise kann sichergestellt werden, 
dal^ auch bei nicht vorhandener Ausnahmenliste SA 55 
die schlledende Basisfunktion BC jederzeit aufrufbar 
ist 

Fuhrt keine der Vergleichsmoglichkeiten zu ei- 
nem positiven Ergebnis. dann wird dies dem Terminal 



T in Form einer selektiven Fehlermeldung mitgeteilt 
Aus dieser selektiven Fehlermeldung geht beispiels- 
weise hervor. daR der Grund fur die Zuruckweisung 
die Nichtzulassigkeit der Abarbeitung der Basisfunk- 
tion B im vorliegenden Anwendungszu stand Z ist An- 
dere selektive Fehtermeldungen k5nnen belspiels- 
weise anzeigen, da& die PIN-Nummer falsch einge- 
geben wurde oder eine PIN-Prufung noch nicht statt- 
gefunden hat 

In den meisten Fdllen wird es genugen, mit einem 
Terminal T nur eine Anwendung auszufuhren. In die- 
sen Fallen genugt es, wenn erst nach Beendigung 
Oder Abbruch einer vor her aktivierten Anwendung ei- 
ne weitere Anwendung aufgerufen werden kann. ta&t 
man aber an einem Terminal T mehrere Anwendun- 
gen zu, dann kann es sinnvoli sein, diese Anwendun- 
gen auch ineinanderverschachteltaufzurufen. Indie- 
sen Fallen ist es dann mdglich, nach der Ubermittlung 
eines Antwortsignals von der Chipkarte K zum Termi- 
nal T, ein Applikationskommando noch vor Beendi- 
gung einer Anwendung zur Chipkarte K zu ubertra- 
gen. Wenn ein Applikationskommando vor Beendi- 
gung einer Anwendung die Chipkarte K erreicht, wird 
der In halt des Zustandsspeicherbereichs ZS und eine 
Kennzeichnung, die die gegenwirtig laufende An- 
wendung eindeutig benennt, in einem Hilfsspeicher 
abgelegt Dieser IHilfsspeicher kann beispielsweise 
im Gemeinschaftsdatenfeld CDF eingerichtet sein. 
Nach Sicherung dieser Daten im IHilfsspeicher wird 
die teilweise Initialisierung des Zustandsspeicherbe- 
reichs ZS vorgenommen. Die mit dem Applikations- 
kommando bezeichnete eingeschobene Anwendung 
kann in oben beschriebener Weise bearbeitet wer- 
den. Nach Beendigung der eingeschobenen Anwen- 
dung werden die im Hilfsspeicher abgelegten Daten 
der unterbrochenen Anwendung wieder an ihre ur- 
sprunglichen Speicherstellen zurucktransferiert Der 
Ablauf der vorher unterbrochenen Anwendung kann 
fortgesetzt werden. 



Patentanspruche 

1. Verfahren zur Verhinderung unzulSssiger Abwei- 
chungen vom Ablaufprotokoll einer Anwendung 
bei einem Datenaustauschsystem, das minde- 
stens aus einem Terminal (T) und mindestens ei- 
nem tragbaren, mindestens einen Prozessor (P) 
und mindestens einen Speicher (S) enthalten- 
den. wenigstens fur eine Anwendung nutzbaren 
Datentriger (K) besteht. 

wobei dem Datentr§ger (K) vom Terminal Funkti- 
onskommandos ubermittelbar sind, die jeweils 
mindestens eine Basisfunktionsbezeichnung 
(Bk) einer Basisfunktion (B) enthalten, die als 
nachste ausgefuhrt werden soli, gekennzeich- 
net dutch folgende Verfahrensschritte: 

a) zum Datenaustausch wird der Datentrgger 
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(K) mit dem Terminal (T) verbunden. wodurch 
ein im Speicher (S) des Datentr3gers vorhan- 
denerZustandsspetcherbereich (ZS) in einen 
Grundzustand versetzt wird, 5 

b) das Terminal (T) ubermitteltan den Daten- 
triger (K) ein Applikationskommando, das ei- 
ne dem Terminal (T) zugeordnete Anwendung 
bezelchnet, 

c) das Terminal (T) ubermittelt an den Daten- io 
trager (K) ein Funktlonskommando, 

c) diese Bastsfunktionsbezeichnung (Bk) wird 
im Datentrager (K) mit im Speicher (S) des 
Datentragers (K) bezuglich der vorher be- 
zeichneten Anwendung gespeicherten Basis- 15 
funktionsbezeichnungen (Bn) verglichen. die 
im vorliegenden. dutch eine EIntragung im 
Zustandsspelcherbereich (ZS) fixierten, Pro- 
tokollzustand zul3ssig sind» 

e) nur bel positivem Vergleichsergebnis wird 20 
die der zum Datentr3ger(K) ubermittelten Ba- 
sisfunktionsbezeichnung (Bk) zugeordnete 
Basisfunktion (B) im Datentrager (K) ausge- 
fuhrt, 

f) nach erfolgreicher Basisfunktionsausfuh- 25 
rung 

f1) werden die im Zustandsspelcherbe- 
reich (ZS) abgelegten Daten dem neuen 
Protokollzustand angepa&t, 
f2) wird vom DatentrSger (K) zum Terminal 30 
(T) ein Antwortsignal ubertragen, 

g) bis der Ablauf der Anwendung beendet ist 
Oder abgebrochen wird, wird vom Terminal 
(T). nach der Ubertragung eines Antwortsi- 
gnals vom Datentr§ger (K) zum Terminal (T), 35 
durch Ubermittelung eines Funktionskonv 
mandos an den Datentrager (K) die nachste 
auszufuhrende Basisfunktion (B) aufgerufen. 

2. Verfahren nach Anspruch 1, dadurch gekenn- 40 
zeichnet, da& durch die Obermlttlung des Appli- 
kationskommandos vom Terminal (T) zum Daten- 
trager (K) eine tellweise Initialisierung des Zu- 
standsspeicherbereichs (ZS) ausgelost wird. 

45 

3. Verfahren nach mindestens einem der vorherge- 
henden Anspruche, dadurch gekennzeichnet, 
da(^ die Obermlttlung des Applikatlonskomman- 
dos vom Terminal (T) zum Datentrager (K) die 
EIntragung einer Blocknummer (STB) im Zu- 50 
standsspeicherbereich (ZS) bewirkt und dad die- 
se Blocknummer (STB) den Platz im Speicher (S) 

des Datentragers (K) bezelchnet, an dem die bei 
der mit dem Applikationskommando bezelchne- 
ten Anwendung im Jewells vorliegenden Proto- 55 
kollzustand (Z) zulSssigen Basisfunktionsbe- 
zeichnungen (Bn) abgelegt sind. 

4. Verfahren nach mindestens einem der vorherge- 



henden Anspruche, dadurch gekennzeichnet, 
da& die Obertragung einer Information vom Ter- 
minal (T) zum Datentrager (K) nur dann erfolgen 
kann, wenn vorher ein Antwortsignal vom Daten- 
trager (K) zum Terminal (T) ubermittelt wurde. 

5. Verfahren nach mindestens einem der vorherge- 
henden Anspruche, dadurch gekennzeichnet, 
da& durch Obermlttlung eines Applikatlonskonv 
mandos vom Terminal (T) zum DatentrSger (K) 
erst nach Beendigung oder Abbruch einer vorher 
aktivierten Anwendung eine weltere Anwendung 
aufgerufen werden kann. 

6. Verfahren nach mindestens einem der Anspru- 
che 1 bis 4, dadurch gekennzeichnet, da(^ bei 
Obermlttlung eines Applikationskommandos vor 
Beendigung einer Anwendung mindestens der I n- 
haltdes Zustandsspeicherbereichs (ZS) in einem 
Hilfsspeicher abgelegt wird, da& danach die tell- 
weise Initialisierung des Zustandsspeicherbe- 
reichs (ZS) erfolgt und da& nach erfolgter Initia- 
lisierung die mit dem Applikationskommando be- 
zeichnete eingeschobene Anwendung bearbeitet 
wird. 

7. Verfahren nach Anspruch 6, 

dadurch gekennzelchnet, dad nach Beendi- 
gung der eingeschobenen Anwendung die im 
Hilfsspeicher abgelegten, der unterbrochenen 
Anwendung zugeordneten Daten wieder an ihre 
ursprunglichen Speicherstellen zurucktransfe- 
riert werden und da& der Ablauf der unterbroche- 
nen Anwendung fortgesetzt wird. 

8. Verfahren nach einem der vorhergehenden An- 
spruche, dadurch gekennzeichnet, da(^zusatz- 
lich zur Basisfunktionsbezeichnung (Bk) im Funk- 
tlonskommando enthaltene Basisfunktionsein- 
gangsparameter an den Datentr3ger (K) ubermit- 
telt werden. 

9. Verfahren nach mindestens einem der Anspru- 
che 3 bis 8, dadurch gekennzeichnet, dad nach 
Erhalt eines Funktionskommandos Qberpruft 
wird, ob eine Blocknummer (STB) im Zustands- 
spelcherbereich (ZS) eingetragen ist 

10. Verfahren nach einem der vorhergehenden An- 
spruche, dadurch gekennzeichnet, da& ein er- 
ster Spelcherbereich (SI) des Spelchers (S) dar- 
aufhin Qberpruft wird, ob eine EIntragung zum 
vorliegenden Protokollzustand (Z) der mit dem 
Applikationskommando bezeichneten Anwen- 
dung in diesem ersten Spelcherbereich (S1) vor- 
handen ist 

11. Verfahren nach Anspruch 10, dadurch gekenn- 
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zeichnet, da& im Falle einervorhandenen Eintra- 
gung zum vorliegenden Protokoltzustand (Z) die 
bezGglich dieses Protokollzustandes (Z) im er- 
sten Speicherbereich (S1) gespeicherten Basis- 5 
funktionsbezeichnungen (Bn) mit der, mit dem 
Funktionskommando zum Datentrager (K) uber- 
mittelten Funktionsbezelchnung (Bk) verglichen 
werden. 

10 

12. Verfahren nach mindestens einem der Anspru- 
che 10 Oder 11. dadurch gekennzeichnet, dad 
im Falle einer fehlenden Eintragung zum vorlie- 
genden Protokollzustand (2) bzw. einer Nicht- 
ubereinstimmung der ubermittelten und der ge- 15 
speicherten Basisfunktionsbezeichnungen (Bk,Bn) 

im ersten Speicherbereich (SI) in einem zweiten 
Speicherbereich (S2) des Speichers (S) uber- 
pruf t wird, ob die zum Datentrager (K) ubermlttel- 
te Basisfunktionsbezeichnung (Bk) in diesem 20 
zweiten Speicherbereich (S2) bezuglich der mit 
dem Appiikationskommando bezeichneten An- 
wendung, unabhangig vom vorliegenden Proto- 
kollzustand (Z) eingetragen isL 

25 

13. Verfahren nach mindestens einem der vorherge- 
henden Anspruche 10 bis 12, dadurch gekenn- 
zeichnet, da& im Falle einer fehlenden Eintra- 
gung zum vorliegenden Protokollzustand Z bzw. 
einer Nichtubereinstimmung der ubermittelten 30 
und der gespeicherten Basisfunktionsbezeich- 
nung (Bk, Bn) sowohl im ersten Speicherbereich 
(SI) als auch im zweiten Speicherbereich (S2) 
uberpruft wird, ob die ubermittelte Basisfunkti- 
onsbezeichnung (Bk) die Basisfunktionsbezelch- 35 
nung (BC) fur die schlie&ende Basisfunktion (B) 

ist 

14. Verfahren nach mindestens einem der vorherge- 
henden Anspruche, dadurch gekennzeichnet, 40 
daB nach erfolgreicher Ausfuhrung einer Basis- 
funktion (B) die Bezeichnung dieser Basisfunkti- 
on (B) in einem Basisfunktlonsspeicherplatz (BZ) 

des Zustandsspeicherberelchs (ZS) eingetragen 
wird, 45 

15. Verfahren nach mindestens einem der Anspru- 
che 10 bis 14, dadurch gekennzeichnet, da&bei 
Nichtubereinstimmung der zum Datentrager (K) 
ubermittelten Basisfunktionsbezeichnung (Bk) so 
mit den entsprechenden Eintragungen im Spei- 
cher (S) diese ubermittelte Basisfunktionsbe- 
zeichnung (Bk) mit der im Basisfunktlonsspei- 
cherplatz (BZ) des Zustandsspeicherberelchs 
(ZS) vermerkten Bezeichnung der zuletzt erfolg- 55 
reich ausgefuhrten Basisfunktion (B) verglichen 
wird. 

1 6. Verfahren nach mindestens einem der vorherge- 



henden Anspruche, dadurch gekennzeichnet, 
da&zu einer Basisfunktionsausfuhrung eventuell 
erforderliche, Im Zustandsspeicherbereich (ZS) 
abgelegte Zugriffsrechte auf Daten im Datentra- 
ger (K) uberpruft werden. 

17. Verfahren nach mindestens einem der Anspru- 
che 10 bis 16, dadurch gekennzeichnet, da&ei- 
ne im ersten Speicherbereich (SI) in Verblndung 
mit einer gespeicherten Basisfunktionsbezeich- 
nung (Bn) abgelegte Folgezustandsbezeichnung 
(ZF), nach erfolgreicher Ausfuhrung dieser der 
gespeicherten Basisfunktionsbezeichnung (Bn) 
zugeordneten Basisfunktion (B), im Protokollzu- 
standsspeicherplatz (Zi) des Zustandsspeicher- 
berelchs (ZS) eingetragen wird. 

18. Verfahren nach mindestens einem dervorherge- 
henden Anspruche, dadurch gekennzeichnet, 
da& nach erfolgreicher Basisfunktionsausfuhrung 
zur Anpassung an den neuen Protokollzustand (Z) 
Informationen zum Protokollablauf und/oder zur 
Datenzugrlffekontrolle Im Zustandsspeicherbe- 
reich (ZS) eingetragen werden. 

19. Verfahren nach Anspruch 18, dadurch gekenn- 
zeichnet, da(^ die Informationen zur Datenzu- 
griffskontrolle getrennt nach anwendungsbezo- 
genen und globalen Daten im Zustandsspeicher- 
bereich (ZS) eingetragen werden. 

20. Verfahren nach mindestens einem der vorherge- 
henden Anspruche, dadurch gekennzeichnet, 
dad bei negativem Vergleichsergebnis eine se- 
lektive Fehlermeldung vom DatentrSger (K) zum 
Terminal (T) ubermittelt wird. 

21. Vorrichtung zur Durchfuhrung des Verfahrens 
nach mindestens einem der Anspruche 1 bis 20, 
bei der der Speicher (S) in einen gemeinschaftli- 
che und anwendungsbezogene Daten enthalten- 
den Datenspeicher (EEPROM), einen auch eine 
Ein-/Ausgangsschnittstelle (I/O) bedienenden 
Arbeitsspeicher (RAM) und einen ein Betriebssy- 
stem (BTS) und mehrere Basisfunktionen (B) ent- 
haltenden Maskenspeicher (ROM) eingeteilt Ist, 
dadurch gekennzeichnet, dad der Datenspei- 
cher (EEPROM) fur jede m5gliche Anwendung ei- 
ne die ZulSsslgen Protokollabliufe enthaltende 
Steuerllste (STL) enthSIt und da& im Arbeitsspei- 
cher (RAM) der die jeweiligen Protokollzustinde 
(Z) aufnehmende Zustandsspeicher (ZS) enthal- 
ten Ist 

22. Vorrichtung nach Anspruch 21, dadurch ge- 
kennzeichnet, da& die Steuerliste (STL) In einen 
Steuerlistenkopf (SK) und einen Steuerlisten- 
rumpf (SR) aufgeteilt ist 
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23. Vorrichtung nach Anspruch 22, dadurch ge- 
kennzeichnet, da(^ im Steuerlistenkopf (SK) line- 
ar nacheinanderdie Steuerlistenkopf iange (SKL) 

und fur jeden bei der Anwendung moglichen Zu- s 
stand (Z), beginnend mit dem ersten Zustand (Z1 ) 
ein Datenpaar gespeichert ist, das aus einer die 
beim Jeweiligen Zustand (Z) ausfuhrbare Basis- 
funktionsanzahl (SBA) angebenden Information 
und aus einem auf eine Speicherstelle im Steuer- io 
listenrumpf (SR) weisenden Pointer (SBP) be- 
steht 

24. Vorrichtung nach mindestens einem der Anspru- 

che 22 Oder 23, dadurch gekennzeichnet, 6aQ> is 
der Steuerllstenrumpf (SR) wenigstens aus ei- 
ner, aus jeweils mindestens einem Datentupel 
bestehenden, jeweils einem Zustand (Z) Zuge- 
ordneten Gruppe besteht und da& die Datentupel 
jeweils aus einer gespeicherten Basisfunktions- 20 
bezeichnung (Bn) und einer Folgezustandsbe- 
zeichnung (ZF) bestehen. 

25. Vorrichtung nach mindestens einem der Anspru- 

che 23 Oder 24, dadurch gekennzeichnet, da& 25 
der einem bestimmten Zustand (Z) zugeordnete 
Pointer (SBP) jeweils auf den Beginn einer dem 
gleichen Zustand (Z) Zugeordneten Gruppe im 
Steuerllstenrumpf (SR) zeigt 

30 

26. Vorrichtung nach mindestens einem der Anspru- 
che21 bis 25, dadurch gekennzeichnet, dad ei- 
ner Steuertiste (STL) eIne Ausnahmenliste (SA) 
zugeordnet ist 

35 

27. Vorrichtung nach Anspruch 26, dadurch ge- 
kennzeichnet, dad im Steuerlistenkopf (SK) un- 
mittelbar nach der Steuerlistenkopflange (SKL) 
eine Ausnahmenlistenblocknummer (SAN) ein- 
getragen Ist, die direkt oder indirekt den Spei- 40 
cherplatz angibt, an dem die Ausnahmenliste 
(SA) gespeichert isL 

28. Vorrichtung nach mindestens einem der Anspru- 

che 26 Oder 27, dadurch gekennzeichnet, da& 45 
in der Ausnahmenliste (SA) nacheinanderdie Ba- 
sisfunktionsbezeichnungen (Bn) der Basisfunk- 
tionen (B) angegeben sind, die unabhangig vom 
vorliegenden Protokollzustand jederzeitausfuhr- 
bar sInd. 50 

29. Vorrichtung nach mindestens einem dervorher- 
gehenden Anspruche 21 bis 28, dadurch ge- 
kennzeichnet, da& Im Zustandsspeicherbereich 
(ZS) Spelcherpiatze fur bestlmmte Informatlonen 55 
zum Protokollablauf und/oder zur Datenzugriffs- 
kontrolle vorhanden sind. 

30. Vorrichtung nach Anspruch 29, dadurch ge- 



kennzeichnet, da& im Zustandsspeicherbereich 
(ZS) zum Protokollablauf je eIn Speicherplatz fur 
d ie Blocknummer (STB) der der vor I iegenden An- 
wendung zugeordneten Steuerliste (STL), ein 
Basisfunktlonsspeicherplatz (BZ) fur die Basls- 
funktlonsbezeichnung (Bk) derzuletzterfolgreich 
ausgefuhrten Baslsfunktlon (B) und ein Protokoll- 
zustandsspelcherplatz (Zl) fur den Protokollzu- 
stand (Z) nach der zuletzt erfolgreich ausgefuhr- 
ten Baslsfunktlon (B) vorhanden ist. 

31. Vorrichtung nach mindestens einem der vorher- 
gehenden Anspruche 29 oder 30, dadurch ge-' 
kennzeichnet, da& die im Zustandsspeicherbe- 
reich (ZS) vorhandenen SpeicherplStze zur Da- 
tenzugriffskontroile in giobale und In anwen- 
dungsbezogene Spelcherpiatze aufgeteilt sind. 

32. Vorrichtung nach Anspruch 31, dadurch ge- 
kennzeichnet, da& je ein Speicherplatz fur das 
anwendungsbezogene Spelchern einer durchge- 
fuhrten PIN-Prufung (PIN) fur einige sich vonein- 
ander unterscheidende durchgefuhrte Authenti- 
zitatsprufungen (AUTH1 AUTH2) und ein globa- 
ler Speicherplatz fur das Spelchern einer durch- 
gefuhrten PIN-Prufung (GPIN) vorhanden sind. 



Claims 

1 . A method for preventing unauthorized deviations 
from an application development protocol In a 
data exchange system which consists of at least 
one terminal (T) and of at least one portable data 
carrier (K) which contains at least one processor 
(P) and at least one memory (S) and can be used 
for at least one application, in which method func- 
tion commands can be transmitted to the data 
carrier (K) from the terminal, which commands 
contain in each case at least one basic function 
designation (Bk) of a basic function (B) which is 
to be executed as the next one, characterized by 
the following method steps: 

a) to exchange data, the data carrier (K) is 
connected to the terminal (T) as a result of 
which a state memory area (ZS) existing In 
the memory (S) of the data carrier Is set to a 
basic state, 

b) the terminal (T) transmits to the data carrier 
(K) an appllcatbn command which designates 
an application allocated to the terminal (T), 

c) the terminal (T) transmits a function com- 
mand to the data carrier (K), 

d) this basic function designation (Bk) Is com- 
pared In the data carrier (K) with basic func- 
tion designations (Bn) stored in the memory 
(S) of the data carrier (K) with respect to the 
previously designated application, which des- 
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ig nations are authorized in the present proto- 
col state fixed by an entry in the state memory 
area (ZS). 

e) the basic function (B) allocated to the basic 
function designation (Bk) transmitted to the 
data carrier (K) is only executed in the data 
carrier (K) when the result of the comparison 
is positive, 

f) after successful execution of the basic func- 
tion 

f1) the data stored in the state memory 
area (ZS) are adapted to the new protocol 
state. 

f2) a response signal is transmitted from 
the data carrier (K) to the terminal (T), 

g) until the development of the application Is 
terminated or is aborted, the next basic func- 
tion (B) to be executed is called up by the ter- 
minal (T) by transmitting a function command 
to the data carrier (K) after the transmission 
of a response signal from the data carrier (K) 
to the terminal (T). 

2. Method according to Claim 1, characterized in 
that a partial initialization of the state memory 
area (ZS) is triggered by the transmission of the 
application command from the terminal (T) to the 
data carrier (K). 

3. Method according to at least one of the preceding 
claims, characterized in that the transmission of 
the application command from the terminal (T) to 
the data carrier (K) effects the entering of a block 
number (STB) in the state memory area (ZS) and 
in that this block number (STB) designates the lo- 
cation in the memory (S) of the data carrier (K) 
at which the basic function designations (Bn). au- 
thorized in the application designated by the ap- 
plication command in the protocol state (Z) exist- 
ing in each case, are stored. 

4. Method according to at I east one of the preceding 
claims, characterized in that transmission of an 
information item from the terminal (T) to the data 
carrier (K) can only occur if a response signal has 
previously been transmitted from the data carrier 
(K) to the terminal (T). 

5. Method according to at least one of the preceding 
claims, characterized in that a further application 
can only be called up by transmission of an appli- 
cation command from the terminal (T) to the data 
carrier (K) after a previously activated application 
has been terminated or aborted. 

6. Method according to at least one of Claims 1 to 
4. characterized in that on transmission of an ap- 
plication command before termination of an appli- 



cation, at least the content of the state memory 
area (ZS) is stored In an auxiliary memory, in that 
then the state memory area (ZS) is partially ini- 
5 tialized and in that, after completed initialization, 

the inserted application designated by the appli- 
cation command is processed. 

7. Method according to Claim 6, characterized in 
10 that after termination of the inserted application, 

the data stored in the auxiliary memory and allo- 
cated to the interrupted application are again 
transferred back to their original memory loca- 
tions and in that the development of the interrupt- 
15 ed application is continued. 

8. Method according to one of the preceding claims, 
characterized in that, in addition to the basic func- 
tion designation (Bk), basic function input para- 

20 meters contained in the function command are 

transmitted to the data carrier (K). 

9. Method according to at least one of Claims 3 to 
8. characterized in that after a function command 

25 has been received, a check is carried out as to 
whether a block number (STB) is entered in the 
state memory area (ZS). 

10. Method according to one of the preceding claims, 
30 characterized in that a first memory area (S1) of 

the memory (S) is checked to see whether an en- 
try to the present protocol state (Z) of the appli- 
cation designated by the application command 
exists in this first memory area (S1). 

35 

11. Method according to Claim 10. characterized in 
that, in the case of an existing entry to the pres- 
ent protocol state (Z). the basic function designa- 
tions (Bn) stored with respect to this protocol 

40 State (Z) in the first memory area (SI) are conrv 

pared with the function designation (Bk) transmit- 
ted to the data carrier (K) with the function com- 
mand. 

45 1 2. Method according to at least one of Claims 1 0 or 
11, characterized in that in the case of a missing 
entry to the existing protocol state (Z) or a non- 
correspondence of the transmitted and the stor- 
ed basic function designations (Bk, Bn) in the first 

50 memory area (S1). a check is made In a second 
memory area (S2) of the memory (S) as to 
whether the basic function designation (Bk) 
transmitted to the data carrier (K) is entered in 
this second memory area (S2) with respect to the 

55 application designated by the application com- 
mand, independently of the existing protocol 
state (Z). 

1 3. Method according to at least one of the preceding 
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Claims 10 to 12, characterized in that in the case 
of a missing entry to the present protocol state (Z) 
or a non-correspondence of the transmitted and 
of the stored basic function designation (Bk, Bn), 5 
a check is made both in the first memory area 
(SI) and in the second memory area (S2) as to 
whether the transmitted basic function designa- 
tion (Bk) Is the basic function designation (BC) for 
the closing basic function (B). io 

14. Method according to at least one of the preceding 
claims, characterized in that after successful 
execution of a basic function (B), the designation 

of this basic function (B) is entered in a basic 15 
function memory location (BZ) of the state mem- 
ory area (ZS). 

1 5. Method according to at least one of Claims 10 to 

14, characterized in that in the case of non-cor- 20 
respondence of the basic function designation 
(Bk). transmitted to the data carrier (K), with the 
corresponding entries in the memories (S), this 
transmitted basic function designation (Bk) is 
compared with the designation, noted in the ba- 25 
sic function memory location (BZ) of the state 
memory area (ZS), of the last basic function (B) 
successfully executed. 

1 6. Method according to at least one of the preceding 30 
claims, characterized in that for executing a basic 
function, any required rights of access to data in 

the data carrier (K) stored in the state memory 
area (ZS) are checked. 

35 

17. Method according to at least one of Claims 10 to 
16, characterized in that a successor state des- 
ignation (ZF) stored in the first memory area (S1 ) 
in connectbn with a stored basic function desig- 
nation (Bn) is entered in the protocol state mem- 40 
ory location (Zi) of the state memory area (ZS) af- 
ter successful execution of this basic function (B) 
allocated to the stored basic function designation 
(Bn). 

45 

1 8. Method according to at least one of the preceding 
claims, characterized in that information items for 
protocol development and/or for data access con- 
trol are entered in the state memory area (ZS) for 
adaptation to t he new protocol state (Z) after sue- so 
cessfu! execution of the basic function. 

19. Method according to Claim 18, characterized in 
that the information items are entered separately 

in accordance with application-related and global 55 
data in the state memory area (ZS) for data ac- 
cess control. 

20. Method according to at least one of the preceding 



claims, characterized in that a selective error 
message is transmitted from the data carrier (K) 
to the terminal (T) in the case of a negative result 
of the comparison. 

21. Device for carrying out the method according to 
at least one of Claims 1 to 20, in which the menrv 
ory (S) is divided into a data memory (EEPROM) 
containing common and application-related data, 
a main memory (RAM) also serving an input/out- 
put Interface (I/O), and a mask memory (ROM) 
containing an operating system (BTS) and a num- 
ber of basic functions (B), characterized in that 
the data memory (EEPROM) contains a control 
list (STL) containing the authorized protocol de- 
velopments for each possible application, and In 
that the main memory (RAM) contains the state 
memory (ZS) accommodating the respective pro- 
tocol states (Z). 

22. Device according to Claim 21, characterized in 
that the control list (STL) is divided into a control 
list header (SK) and a control list body (SR). 

23. Device according to Claim 22, characterized In 
that in the control list header (SK), the control list 
header length (SKL) and, for each state (Z) pos- 
sible in the application, beginning with the first 
state (ZI), a data pair which consists of an infor- 
mation Item specifying the number (SBA) of basic 
functions which can be executed in the respec- 
tive state (Z) and of a pointer (SBP) pointing to a 
memory location in the control list body (SR) are 
linearly successively stored. 

24. Device according to at least one of Claims 22 or 

23, characterized in that the control list body (SR) 
consists at least of one group consisting of in 
each case at least one data tuple and allocated in 
each case to one state (Z), and in that the data 
tuples in each case consist of a stored basic func- 
tion designation (Bn) and a successor state des- 
ignation (ZF). 

25. Device according to at least one of Qain^ 23 or 

24, characterized In that the pointer (SBP) allo- 
cated to a particular state (Z) in each case points 
to the beginning of a group allocated to the same 
state (Z) in the control list body (SR). 

26. Device according to at least one of Claims 21 to 

25, characterized in that an exception list (SA) is 
allocated to a control list (STL). 

27. Device according to Claim 26, characterized In 
that an exception list block number (SAN) which 
directly or indirectly specifies the memory loca- 
tion at which the exception list (SA) is stored is 
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entered immediately after the control list header 
length (SKL) in the control list header (SK). 

28. Device according to at least one of Claims 26 or 5 
27, characterized in that the basic function des- 
ignations (Bn) of the basic functions (B) which 

can be executed at any time independently of the 
present protocol state are specified successively 
in the exception list (SA). io 

29. Device according to at least one of the preceding 
Claims 21 to 28, characterized in that memory lo- 
cations for particular information items on the 
protocol development and/or on the data access is 
control exist in the state memory area (ZS). 

30. Device according to Claim 29, characterized in 
that the state memory area (ZS) for the protocol 
development contains one memory location each 20 
for the block numbers (STB) of the control list 
(STL) allocated to the present application, one 
basic function memory location (BZ) for the basic 
function designation (Bk) of the last basic func- 
tion (B) successfully executed and one protocol 25 
state memory location (Zi) for the protocol state 

(Z) following the last basic function (B) success- 
fully executed. 

31. Device according to at least one of the preceding 30 
Claims 29 or 30, characterized in that the mem- 
ory locations for data access control existing in 

the state memory area (ZS) are divided into glo- 
bal and into application-related memory loca- 
tions. 35 

32. Device according to Claim 31, characterized in 
that one memory location each exists for the ap- 
plication-related storing of a PIN test (PIN) car- 
ried out for some mutually differing authenticity 40 
tests (AUTH1. AUTH2) carried out and a global 
memory location for storing a PIN test (GPIN) 
carried out 



Revendications 

1 . Procddd pour dviter des dcarts inadmissibles du 
protocole de dSroulement d'une application, dans 
un syst^me d'Schanges de donnSes, qui est so 
constitu^ au moins d'un terminal (T) et au moins 
d'un support de donn^es (K) mobile et qui 
comporte au moins un processeur (P) et au 
moins une mdmoire (S) et qui peut dtre utile au 
moins pour une application, 55 

du type dans lequel, au support de don- 
n6es (K) peuvent dtre transmises, d partir du ter- 
minal, des commandos de fonctionnement qui 
contiennent au moins une designation de fonc- 



tionnement de base (Bk) d*une fonction de base 
(B)qui doit §tre ex^cutSe comme directementsui- 
vante. caract6ris§ par les phases opdratoires sui- 
vantes : 

a) on reiie, pourT^change de donn§es, le sup- 
port de donn^es (K) au terminal (T), ce par 
quoi une zone m^moire d'^tats (ZS) qui est 
prdsente dans la m^moire (S) du support de 
donn^es est transferee dans un etat de base, 

b) le terminal (T) transmet au support de don- 
nees (K) une commande d'application qui d6- 
signe une application associee au terminal 
(T), 

c) le terminal (T) transmet au support de don- 
nees (K) une commande de fonctionnement 

d) on compare, dans le support de donnees 
(K), cette designation de fonction de base (Bk) 
aux designations de fonction de base (Bn), qui 
sont memorisees dans la memoire (S) du sup- 
port de donnees (K) en ce qui concerne I'ap- 
plication designee auparavant et qui sont ad- 
mises dans le present etat de protocole fixe 
par un enregistrement dans la zone memoire 
d'etats (ZS), 

e) on execute dans le support de donnees (K) 
et uniquement dans le cas d'un resultat de 
comparaison positif, la fonction de base (B) 
associee e la designation de fonction de base 
(Bk) transmise au support de donnees (K), 

f) apres une execution couronnee de succes 
de la fonction de base, 

f1) on adapte au nouvel etat de protocole 
les donnees extraites dans la zone memoi- 
re d'etat (ZS), 

f2) on transmet un signal de reponse du 
support de donnees (K) au terminal (T), 

g) jusqu'd la fin du deroulement de I'applica- 
tion ou jusqu'd son interruption, on applique la 
fonction de base (B) directement suivante d 
executor, par le terminal (T) au support de 
donnees, apres la transmission d'un signal de 
reponse du support de donnees (K) au termi- 
nal (T), par I 'inter media ire d*une commande 
de fonctionnement 

2. Precede suivant la revendication 1, caracterise 
en ce que, e Taide de la transmission de la 
commande d'application du terminal (D) au sup- 
port de donnees (K), on effectue une initialisation 
partielle de la zone de memoire d'etats (ZS). 

3. Precede suivant I'une au moins des revendica- 
tions precedentes, caracterise en ce que la trans- 
mission de la commande d'application du termi- 
nal (T) au support de donnees (K) provoque I'en- 
registrement d'un numero de bloc (STB) dans la 
zone de memoire d'etats (ZS) et en ce que ce nu- 
mero de bloc (STB) designe la place, dans la me- 
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moire (S) du support de donn^es (K), ^ laquelle 
sont extraites les d^ig nations de fonctionne- 
ment de base (Bn) admissibles lors de rapplica- 
tion dSsignSe par la commande d'application 
dans rstat de protocols (Z) respectivement pre- 
sent 

4. Proc^dd suivant Tune au moins des revendica- 
tions pr§c6dentes, caract6ris6 en ce que Ton ne 
peut effectuer la transmission d'une information 
du terminal (T) au support de donn6es (K) que 
lorsqu'auparavant un signal de r^ponse a §t§ 
transmis du support de donnSes (K) au terminal 
(T). 

5. Proc^dS suivant I'une au moins des revendica- 
tions pr^c^dentes, caract6ris§ en ce qu'd I'aide 
de la transmission d'une commande d'application 
du terminal (T) au support de donn^es (K), on 
peut appeler, juste apr^s I'arrSt ou interruption 
d'une application active auparavant, une autre 
application. 

6. Proc6d6 suivant I'une au moins des revendica- 
tions 1 d 4, caract§ris6 en ce que, lors de la trans- 
mission d'une commande d'application avant la 
fin d'une application, on ddrive au moins le conte- 
nu de la zone mSmoire d'^tats (ZS) dans une md- 
moire auxiliaire, en ce qu'apr6s cela, on effectue 
rinitialisation partielle de la zone m^moire d'^tats 
(ZS) et en ce qu'apr^s rinitialisation effectu^e, on 
traite Tappltcation introdulte et ddsignde par la 
commande d'application. 

7. Proc6d^ suivant la revendication 6, caract6ris6 
en ce qu'apr^s la fin de I'application introdulte, on 
retransfert les donnSes associSes d I'application 
interrompue etd^rlv^e dans la m6nfK)ire auxiliaire 
k nouveau dans leurs positions initiales de m§- 
moire et en ce que le d^roulement de Tapplication 
interrompue continue. 

8. Proc^dS suivant Tune au moins des revendica- 
tions pr^cSdentes, caract§ris6 en ce que, en plus, 
pour la designation de la fonction de base (Bk), on 
transmet au support de donnSes (K) des paramd- 
tres d'entr^e de fonction de base contenus dans 
la commande de fonction nement 

9. Proc^dS suivant Tune au moins des revendica- 
tions 3^8, caractdris^ en ce qu'aprds le maintien 
d'une commande de fonctionnement on contrdie 
si un num^ro de bloc (STB) est enregistr^e dans 
la zone de m^moire d'^tats (ZS). 

10. Proc6d6 suivant I'une au moins des revendica- 
tions prScSdentes, caract^risd en ce qu'on 
contr6le premiere zone de m6moire (S1) de la 



mdmoire (S), si un enregistrement, pour I'^tat pro- 
tocole (Z) present de Tap plication d^slgnSe par la 
commande d'application, est dans cette premiere 
5 zone de m^moire (S1). 

11. Proc6d§ suivant la revendication 10, caract6ris6 
en ce que, dans le cas d'un maintien pour I'Stat 
de protocole (Z) present on compare les ddsi- 

10 gnations de fonctions de base (Bn) qui sont m^ 
moris^es, concern ant cet ^tat de protocole (Z), 
dans la premiere zone de m^moire (SI), d la de- 
signation de fonction transmlse avec la comman- 
de de fonctbnnement au support de donndes (K). 

15 

12. Precede suivant Tune au moins des revendica- 
tions 1 0 ou 11 , caracterise en ce que, dans le cas 
d'un maintien errone pour I'etat de protocole (Z) 
present, ou dans le cas d'un desaccord entre la 

20 designation de fonction de base transmise et la 
designation de fonction de base memorisee 
(Bk,Bn), on contrdie, dans la premiere zone de 
memoire (SI) et dans une deuxieme zone de me- 
moire (S2) de la memoire (S), si la designation de 

25 fonction de base (Bk) transmlse au support de 
donnees (K) est enregistree dans cette deuxieme 
zone de memoire (S2) en ce qui concerne I'appli- 
cation designee par la commande d'application. 
et en fonction de I'etat de protocole (Z) present 

30 

13. Precede suivant I'une au moins des revendica- 
tions 10 e 12, caracterise en ce que, dans le cas 
d'un maintien errone pour retat de protocole pre- 
sent (Z) ou dans le cas d'un desaccord entre la 

35 designation de fonction de base transmise et de 
la designation de fonction de base memorisee 
(Bk,Bn), on contrdie non seulement dans la pre- 
miere zone de memoire (SI), mais egalement 
dans la deuxieme zone de menrK>ire (S2) si la de- 

40 signatipn de fonction de base (Bk) transmise est 
la designation de fonction de base (BC) de la 
fonction de base sulvante (B). 

14. Precede suivant I'une au moins des revendica- 
45 tions precedentes, caracterise en ce qu'apres 

I'execution avec succes d'une fonction de base 
(B), on enregistre la designation de cette fonction 
de base (B) dans une place de memoire de fonc- 
tions de base (BZ) de la zone memoire d'etats 
50 (ZS). 

15. Procede suivant I'une au moins des revendlca- 
tiens 10 e 14, caracterise en ce que, lors du de- 
saccord de la designation de fonction de base 

55 (BK) transmlse au support de donnees (K) avec 

le maintien correspondent dans la memoire (S), 
on compare cette designation de fonction de 
base (BK) transmise k la designation, notee dans 
la place de memoire de fonctions de base (BZ) de 
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la zone m^moire d'Stats (ZS). de la fonction de 
base (B) ex^cut^e avec succ^s en premier lieu. 

16. Proc^dd suivant I'une au nnoins des revendica- 
tfons prSc^dentes, caractSrisS en ce que pour 
une execution de fonction de base, on contrdle, 
dans le support de donn6es (K). des droits d'ac- 
cds aux donn^es qui sont dventueilement nSces- 
saires et qui sont extraits dans la zone de m^moi- 
re d'6tats (ZS). 

17. Proc6d6 suivant I'une au moins des revendica- 
tions 10^16, caract6ris6 en ce que Ton enregis- 
tre d la place de m§moire d'§tats de protocol e (Zi) 
de la zone de m^moire d'^tats (ZS), apr^s I'exd- 
cution avec succ^s de cette fonction de base (B) 
associSe d la designation de fonction de base 
(Bn) mdmoris^e, une designation (ZF) d'dtats 
successifs extraite dans la prenniere zone de m&- 
moire (S1) en liaison avec une designation de 
fonction de base (Bn) memoris6e. 

18. Precede suivant Tune au moins des revendica- 
tions precedentes, caracterise en ce qu'apres 
■'execution de fonction de base couronnee de 
succes, on enregistre, dans la zone memoire 
d'etats (ZS), pourl'adaptation d un nouvel etatde 
protocole (Z), des informations pour le deroule- 
ment du protocole et/ou pour le contrdle de Tac- 
ces des donnees. 

19. Procede suivant la revendication 18, caracterise 
en ce que Ton separe les informations pour le 
contrdle d'accds des donnees, et on les enregis- 
tre dans la zone de memoire d'etats (ZS), apres 
des donnees globales et orient6es vers I'applica- 
tion. 

20. Precede suivant I'une au moins des revendica- 
tions precedentes, caracterise en ce que, lorsque 
ie resultat de la comparaison est negatif. on trans- 
met un message d'erreur seiectif, du support de 
donnees (K) au terminal (T). 

21. Dispositif pour la mise en oeuvre du procede sui- 
vant Tune au moins des revendications 1 ^ 20, 
dans lequel la memoire (S) estsubdivisee en une 
memoire de donnees (EEPROM) contenant des 
donnees d'utilite publique et orientees vers Tap- 
plication, en une memoire de travail (RAM) ser- 
vant egalement une interface entree/sortie (I/O) 
et en une memoire de masques (ROM) compor- 
tant un systeme de travail (BIS) et plusieursfbnc- 
tions de base (B), caracterise en ce que la me- 
moire de donnees (EEPROM) comporte, pour 
cheque utilisation possible, une liste de comman- 
do (STL) com portent les deroulements de proto- 
cole admissibles, et en ce que la memoire d'etats 



(ZS) contenant les etats de protocole respectife 
(Z) est comprise dans la memoire de travail 
(RAM). 

5 

22. Dispositif suivant la revendication 21 , caracterise 
en ce que la liste de commando (STL) est divisee 
en une en-t§te de liste de commando (SK) et en 
un corps de liste de commando (SR). 

10 

23. Dispositif suivant la revendication 22, caracterise 
en ce que, dans I'en-tete de liste de commando 
(SK) sont memorisees lineairement les unes 
apres les autres les longueurs (SKL) d'en-tete de 

15 liste de commande, et pour chaque etat (Z) pos- 

sible lors de rapplication, e partir du premier etat 
(ZI), un couple de donnees qui est constitue 
d'une information indiquant le nombre de fonc- 
tions de base (SBA) susceptibles d'etre execu- 

20 tees lors de I'etat (Z) respectif, et d'un pointeur 
(SBP) Indiquant une position memoire dans le 
corps de liste de commande (SR). 

24. Dispositif suivant I'une au moins des revendica- 
25 tions 22 ou 23, caracterise en ce que le corps de 

liste de commande (SR) est constitue d'au moins 
un groupe associe d un etat (Z) et constitue d'au 
moins un n-upletde donndes, et que les n-uplets 
de donnees sont constitues respectivement 
30 d'une designation de fonction de base (Bn) me- 
morisee etd'une designation d'etat (ZF) consecu- 
tif. 

25. Dispositif suivant I'une au moins des revendica- 
35 tions 23 ou 24, caracterise en ce que le pointeur 

(SBP) associe d un etat determine (Z) pointe, 
dans le corps de liste de commande (SR), sur le 
debut d'un groupe associe au memo 6tat (Z). 

40 26. Dispositif suivant I'une au moins des revendica- 
tions 21 e 25, caracterise en ce qu'd la liste de 
commande (STL) est associee une liste de recep- 
tion (SA). 

45 27. Dispositif suivant la revendication 26, caracterise 
en ce que, dans I'en-tete de liste de commande 
(SK), est Introduit, directement aprds la longueur 
de I'entete de liste de commande (SKL), un nu- 
mero de bloc (SAN) de liste de reception, qui in- 

50 dique directement ou indirectement la place de la 
memoire e laquelle est memorisee la liste de re- 
ception (SA). 

28. Dispositif suivant I'une au moins des revendica- 
55 tions 26 ou 27, caracterise en ce que, dans la iiste 

de reception (SA), sont indiquees successive- 
ment les designations de fonctions de base (Bn) 
des fonctions de base (B) qui sont susceptibles 
d'etre envoyees e chaque instant independanv 

14 
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ment de l'6tat de protocole present 

29. Dispositif suivant Tune au moins des revendica- 
tions 21 k 28. caract^ris^ en ce qu'i) est pr^vu, 5 
dans ta zone de mSmoire d'Stats (ZS), des places 

de m^moire pour des informations d^terminSes, 
pour le d6roulenrient du protocole et/ou pour le 
contrdle d'acc^s des donnSes. 

10 

30. Dispositif suivant la revendication 29, caract^risd 
en ce que, dans la zone de m^moire d'dtats (ZS) 
pour le ddroulement du protocole, sont pr6vues 
une place mdmoire pour le numdro de bloc (STB) 

de la liste de comma nde (STL) associ6e k Tutili- 15 
sation prSsente, une place mdmoire (BZ) defonc- 
tions de base pour la designation defonctions de 
base (Bk) de la fonction de base (B) ex^cut^e en 
dernier lieu avec succ^s et une place mdmoire 
(Zi) d'Stats de protocole pour I'^tat de protocole 20 
aprSs la fonction de base (B) ex^cutSe avec sue- 
c^s en dernier lieu. 

31. Dispositif suivant Tune au moins des revendica- 
tions 29 ou 30, caract6ris§ en ce que les places 25 
m6moires pr6sentes dans la zone m6moire 
d'6tats (ZS) sont subdivis6es, pour le contrfile 
d^acc^s de donnSes, en des places mdmoires 
globales et en des places m^moires concernant 
Tapplication. 30 

32. Dispositif suivant la revendication 31, caract^ris^ 
en ce qu'il est prdvu une place m^moire pour la 
memorisation, concernant Tapplicatlon, d'un test 

PIN effectuS (PIN), pour des tests particuliers 35 
d'authenticite (AUTH1. AUTH2) et ex6cut6s de 
mani^redifferente lesuns par rapport aux autres, 
et une place mS moire globale pour la memorisa- 
tion d'un test PIN effectue (GPIN). 
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